Как да деактивирате защитата на системната цялост на Mac (и защо не трябва)
Mac OS X 10.11 El Capitan защитава системните файлове и процеси с нова функция, наречена защита на системната цялост. SIP е функция на ниво ядро, която ограничава това, което може да направи "root" акаунта.
Това е чудесна защитна функция и почти всички, дори и "силните потребители" и разработчиците, трябва да я оставят активирана. Но, ако наистина трябва да промените системните файлове, можете да го заобиколите.
Какво е защита на системната цялост?
В Mac OS X и други UNIX-подобни операционни системи, включително Linux, има "root" акаунт, който традиционно има пълен достъп до цялата операционна система. Ставайки основен потребител - или получавайки root права - ви дава достъп до цялата операционна система и възможността за модифициране и изтриване на всеки файл. Зловредният софтуер, който получава права за корен, може да използва тези разрешения, за да повреди и зарази файловете на операционната система от ниско ниво.
Въведете паролата си в диалогов прозорец за сигурност и сте дали на коренните права на приложението. Това традиционно му позволява да прави каквото и да е операционната ви система, въпреки че много потребители на Mac може да не са разбрали това.
Защита на системната цялост - известна още като "безкорен" - функционира чрез ограничаване на кореновата сметка. Самото ядро на операционната система поставя проверки на достъпа на коренния потребител и няма да му позволява да прави определени неща, като например модифициране на защитени места или инжектиране на код в защитени системни процеси. Всички разширения на ядрото трябва да бъдат подписани и не можете да деактивирате защитата на системната цялост от самото Mac OS X. Приложения с повишени права на root вече не могат да се намесват в системните файлове.
Най-вероятно ще забележите това, ако се опитате да напишете в една от следните директории:
- /Система
- / бин
- / ЮЕсАр
- / sbin
OS X просто няма да го позволи и ще видите съобщение „Операция не е позволено“. OS X също няма да ви позволи да монтирате друго място върху една от тези защитени директории, така че няма начин да се заобиколите.
Пълният списък на защитените места се намира в /System/Library/Sandbox/rootless.conf на вашия Mac. Тя включва файлове като приложенията Mail.app и Chess.app, включени в Mac OS X, така че не можете да ги премахнете - дори от командния ред като потребител на root. Това обаче означава, че злонамереният софтуер не може да модифицира и заразява тези приложения.
Не е случайно, че опцията "ремонт на разрешения за диск" в Disk Utility - отдавна използвана за отстраняване на различни проблеми на Mac - вече е премахната. Защитата на системната цялост трябва да попречи на критичните разрешения на файловете да бъдат подправяни. Disk Utility е преработен и все още има опция „Първа помощ“ за отстраняване на грешки, но не включва начин за поправка на разрешенията.
Как да деактивирате защитата на системната цялост
Внимание: Не правете това, освен ако нямате много добра причина да го направите и да знаете точно какво правите! Повечето потребители няма да трябва да деактивират тази настройка за сигурност. Тя не е предназначена да ви попречи да се забърквате в системата - тя е предназначена да предотврати злонамерен софтуер и други лошо възприети програми от кавга със системата. Но някои помощни програми на ниско ниво могат да функционират само ако имат неограничен достъп.
Настройката за защита на системната цялост не се съхранява в самия Mac OS X. Вместо това се съхранява в NVRAM на всеки отделен Mac. Тя може да се променя само от средата за възстановяване.
За да стартирате в режим на възстановяване, рестартирайте вашия Mac и задръжте Command + R, докато се стартира. Ще влезете в средата за възстановяване. Щракнете върху менюто “Utilities” и изберете “Terminal”, за да отворите терминален прозорец.
Въведете следната команда в терминала и натиснете Enter, за да проверите състоянието:
състояние на проверката
Ще видите дали защитата на системната цялост е активирана или не.
За да деактивирате защитата на системната цялост, изпълнете следната команда:
csrutil забраните
Ако решите, че искате по-късно да разрешите SIP, върнете се в средата за възстановяване и изпълнете следната команда:
csrutil разреши
Рестартирайте вашия Mac и новата настройка за защита на системната цялост ще влезе в сила. Потребителят root сега ще има пълен, неограничен достъп до цялата операционна система и всеки файл.
Ако преди това сте имали файлове, съхранени в тези защитени директории, преди да обновите своя Mac до OS X 10.11 El Capitan, те не са изтрити. Ще ги намерите преместени в директорията / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / на вашия Mac.
Кредит за изображения: Shinji на Flickr